Как уберечь средства клиентов, если обслуживание предприятий осуществляется банком дистанционно
Экспертный комментарий Сергея Котова, эксперта по информационной безопасности компании "Аладдин Р.Д."
C развитием дистанционного банковского обслуживания растёт и уровень угроз для пользователей систем ДБО: у банков деньги похитить можно, и мошенники с успехом воруют деньги и в новых условиях. О том, как этого не допустить, мы беседуем с экспертами и участниками рынка Павлом Есаковым, заместителем директора по продажам в финансовом секторе компании CompuTel, Денисом Калембергом, генеральным директором компании "SafeTech", Сергеем Котовым, экспертом по информационной безопасности компании "Аладдин Р.Д.", Николаем Беляковым, начальником службы информационной безопасности банка "Кредит- Москва" (ОАО), Павлом Головлёвым, начальником управления безопасности СМП-банка, Дмитрием Козловым, руководителем службы маркетинга и рекламы компании "Итеранет" и Александром Веселовым, ведущим инженером ЗАО "С-Терра СиЭсПи".
– Какие, на Ваш взгляд, сегодня существуют угрозы для систем дистанционного банковского обслуживания (ДБО) юридических лиц с точки зрения информационной безопасности? Изменились ли эти угрозы по сравнению с ситуацией 2009–2010 годов?
Павел Есаков: К сожалению, уровень угроз для пользователей систем ДБО никоим образом не снижается, а только растёт. Деньги – самый ликвидный товар, и их можно похитить у банков. Попытки банков повысить уровень информационной безопасности за счёт USB-устройств с неизвлекаемым ключом для формирования ЭЦП (а это самый широко распространённый механизм в системах ДБО для корпоративных заказчиков), по большому счёту, закончились провалом. Мошенники с успехом воруют деньги и в новых условиях. Широкое использование одноразовых sms-паролей также создает существенные риски, ибо всё более частое использование мобильных устройств используется и для доступа к системе ДБО, и для получения sms-пароля. В ходе банковского семинара по безопасности, который был организован компанией Gemalto в октябре 2013 года в посольстве Франции, банковскому сообществу была продемонстрирована возможность взлома системы безопасности на базе одноразовых sms-паролей.
Сергей Котов: На мой взгляд, с течением времени качественно ничего не изменилось. Стало больше смартфонов и планшетов – увеличилось и продолжает бурно расти число атак с их использованием. Чуть было не сказал "с их помощью", но это, конечно, не так. Правильнее сказать "с помощью пользователей". Редко когда обходится без этого. Средства защиты есть, но их мало кто применяет, ведь теперь уже нельзя считать средством защиты логин/пароль. И в этом нет парадокса, если пересчитать 3 украденных миллиарда на 6 миллиардов мобильных пользователей. При стоимости средств защиты от десяти до полусотни долларов получим разницу на порядок – полтора. Вывод: воруют ещё не достаточно для осознания необходимости затрат на защиту. Хотя, надо признать, что ситуация меняется, но очень медленно. Стало быть, воровать будут и дальше.
Павел Головлев: Полностью согласен с Сергеем. Несмотря на изменение технологий, на мой взгляд, собственно профиль угроз не сильно меняется. Более чем три четверти проблем сосредоточены всего в трёх областях: компрометация рабочего места клиента внешним злоумышленником, компрометация (и нелегитимное использование) средств доступа и подтверждения платежей (ключей, паролей и т. п.) сотрудниками компании клиента, мошеннические действия со стороны клиента. Да, существуют атаки непосредственно на банки и в них участвуют нечистые на руку сотрудники. Такие инциденты иногда бывают достаточно громкими и привлекающими внимание, но основные угрозы безопасности клиентским средствам имеют вполне "бытовой" характер.
Денис Калемберг: Основной угрозой по-прежнему осталось хищение денежных средств со счетов клиентов систем ДБО. Однако технологии, применяемые для этой цели, значительно изменились. Изначально мошенники просто копировали ключи подписи клиента и с их помощью переводили деньги на свои счета. В ответ на это, в период с 2007 до 2012 года большинство российских банков внедрили средства защищённого хранения ключей электронной подписи клиента (токены и смарт-карты). Решение это было абсолютно верным и на время действительно снизило темпы роста ущерба, но хакеры нашли довольно изящный способ обойти такой заслон. Сначала они стали удалённо подключаться к рабочим станциям клиентов и создавать платежки прямо там, затем создали "продвинутые" банковские трояны, которые самостоятельно подменяют реквизиты и суммы платёжных поручений таким образом, что пользователь заражённого компьютера этого не видит. Согласно отчёту ЦБ, атаки с удалённым доступом и подменой документа уже в конце 2012 года использовались более чем в 90% случаев хищений. С точки зрения "мобилизации", бум которой происходит сейчас на рынке услуг для физических лиц, юридических лиц – предприятия – она практически не затрагивает в силу специфики работы этой категории клиентов со счетами. Обычно это рабочее место (ноутбук или компьютер) с системой автоматизации бухгалтерского учёта. Мобильные технологии пока не дошли до автоматизации этого вида деятельности.
Николай Беляков: Напомню, что долгое время банки наибольшее внимание уделяли попыткам защитить ДБО на стороне клиента. Для этого разрабатывались и разрабатываются новые подходы – защищённые носители, функциональные ключевые носители, устройства гарантированного подтверждения платежей, информирование клиентов о рисках использования ДБО через Интернет и т.д. Всё это в определённой степени дало какой-то эффект и усложнило реализацию атак на ДБО на стороне клиента.
Тем не менее, принимаемые меры оставляют без внимания такие аспекты защиты ДБО, как защита бухгалтерских систем на стороне клиента и защита информационных систем на стороне банка. Я умышленно не употребил здесь термин "ДБО", так как всё большее распространение имеют целевые атаки, имеющие длительный период реализации, целью которых оказываются не только системы ДБО в чистом виде.
Для примера, заражается любая рабочая станция на стороне банка, далее злоумышленники на ней "закрепляются" и начинают изучать сеть организации, всячески скрывая своё присутствие. Ряд таких целевых атак завершился тем, что были успешно атакованы рабочие места, предназначенные для обмена информацией с МЦИ Банка России. Фактически, "противник ударил с тыла, находясь уже за всеми оборонительными рубежами". Таким образом, в ряде случаем реализовались угрозы, к которым большинство банков не готовилось и не готово до сих пор.
На стороне клиентов злоумышленники всё чаще атакуют не сами системы ДБО, а бухгалтерские системы, которые в настоящий момент в значительной степени меньше защищены, чем ДБО. Для работника клиента, платежи, которые он только что загрузил из, например, 1С, являются доверенными, так как он их только что ввёл своими руками. Таким образом, осуществив успешную атаку на бухгалтерскую систему клиента, злоумышленники почти в 100% случаях обретают успех в проведении платежа через банк.
Учитывая эти направления векторов атак, бороться с мошенничеством в сфере ДБО возможно только совместными усилиями разработчиков ДБО, разработчиков бухгалтерских систем, банков и клиентов.
– Отличаются ли подходы к обеспечению информационной безопасности систем ДБО, эффективные для крупных корпораций, средних компаний и предприятий малого бизнеса? Каковы типовые мероприятия и применяемые средства обеспечения безопасности ДБО для компаний разного масштаба?
Павел Есаков: Крупным корпоративным клиентам по плечу и более тяжеловесные решения. Так, решения с созданием доверенной среды на клиентском компьютере можно встретить только у крупных клиентов, где организация готова выделить под интернет-банк отдельный компьютер со всеми вытекающими последствиями. Нередко можно встретить клиентов из малого бизнеса, единственным механизмом защиты для которого является одноразовый пароль по sms. В целом, есть соответствие между защищаемыми активами и стоимостью систем защиты.
Павел Головлев: Продолжу мысль Николая. Самые эффективные защитные меры находятся в зоне ответственности банков. Зона ответственности клиента — это область "гигиенических" мер. И очень часто применение защитных мер входит в противоречие с требованиями бизнеса и они просто игнорируются. Единственное отличие состоит в том, что крупный бизнес может организовать деятельность соответствующих внутренних служб и обеспечить их технически, если на то будет соответствующая политическая воля владельцев этого бизнеса. При этом рабочее место ДБО будет не более чем одним из защищаемых информационных активов. Малый и средний бизнес вынуждены обходиться менее затратными решениями.
Сергей Котов: Малый бизнес – вообще отдельная тема. Таким компаниям многое недоступно. Они часто "сидят" со своими транзакциями на ближайшей доступной Wi-Fi точке, что не добавляет безопасности. Для них любое мероприятие по защите – уже нагрузка на бизнес. Возможно, для малого бизнеса необходимо разработать набор доступных (не только для выполнения, но и для понимания) рекомендаций, хотя бы снижающих риски. Опубликовать, например, список доступных (и лучше бесплатных) средств защиты и рекомендации по их применению. А банки, заявляющие о поддержке малого бизнеса, могли бы выдавать им средства защиты бесплатно или на условиях необременительного лизинга – такие варианты уже проработаны.
Павел Головлев: Только при этом необходимо решить массу вопросов, связанных с лицензированием этой деятельности и логистическими проблемами, что само по себе может оказаться достаточно затратным для такого банка.
Денис Калемберг: Подходы к обеспечению безопасности ДБО малого, среднего и крупного бизнеса действительно различаются. Для небольших компаний, где платежи в основном совершает генеральный директор, большое значение имеет стоимость технологии подтверждения, а также её мобильность. При этом уровень защиты должен быть действительно очень высоким, так как эти предприятия зачастую не могут позволить себе содержать компьютер только для рабочих целей.
Средние компании могут потратить на средство защиты чуть больше, мобильность технологии не настолько важна, так как работу с системой интернет-банкинга здесь обычно ведёт бухгалтер со стационарного рабочего места. Проблема состоит в том, что обычно генеральный директор отдаёт своё средство подписи (например, токен) этому бухгалтеру, что приводит к упрощению атаки.
Что касается крупных компаний, основным критерием здесь является возможность одновременного подтверждения большого количества платежей, которое порой доходит до нескольких тысяч.
Для малых и средних компаний как средство защиты очень хорошо зарекомендовали устройства класса TrustScreen, которые показывают, какие реквизиты действительно идут на подпись и только после нажатия кнопки подтверждения "пропускают" их. Данная технология не намного дороже классического токена, однако, позволяет "закрыть" все известные на сегодняшний день технологии удалённых атак.
Для корпоративных клиентов она подходит хуже, так как бухгалтер просто не сможет подтвердить таким образом тысячи документов в день. Но если интегрировать её с "белыми" списками контрагентов, то на дополнительную проверку будут выдаваться только те получатели, которым платежи ранее не проводились. То есть "подозрительные" платежи. Также хорошим решением для крупных компаний является выделение специальной рабочей станции для проведения платежей в системе ДБО. Такой компьютер должен быть максимально защищён, а доступ с него невозможен на любые ресурсы, кроме интернет-банкинга.
– Можно ли считать средства "общей информационной гигиены" информационной инфраструктуры предприятия (сетевые экраны, антивирусы, DLP-системы и другие подобные) основными мерами защиты от специфических угроз для систем ДБО?
Сергей Котов: Конечно можно. Важно понимать, что в условиях предприятия это не коробочные продукты и обычно они не оправдывают себя при использовании "по умолчанию". Даже антивирусным средствам требуется настройка – что уж говорить об остальных. То есть недостаточно потратиться на приобретение средств защиты – придётся потратиться на тонкую настройку и поддержание в актуальном состоянии, что зачастую стоит немалых денег.
Павел Головлев: Необходимо понимать, что подобные "гигиенические" меры (кстати, не только перечисленные технические, но в первую очередь, гораздо более дешёвые – организационные) являются именно гигиеническими. То есть применение их имеет достаточно ограниченную эффективность. Но их отсутствие практически наверняка приводит к финансовым потерям. В первую очередь, главным проблемным местом является использование "ломанного" или устаревшего программного обеспечения и отсутствие своевременных обновлений.
Павел Есаков: К сожалению, "средства общей гигиены", на мой взгляд, не могут обеспечить защиту банка или его клиентов от мошенничества. Ведь основная масса мошеннических операций в канале ДБО не связана со взломом компьютерных систем банка или выводом какой-либо информации за пределы охраняемого периметра. Мошенник получает доступ к чужому счёту под аутентификационными данными того клиента, которому этот счёт принадлежит на законных основаниях, похищая его данные. Антивирусы, к сожалению, обнаруживают зловредные программы несколько позже, на момент обнаружения вируса разработчиками и включения его сигнатуры в базу данных антивируса, операции по незаконному переводу средств клиента уже завершились.
Денис Калемберг: На сегодняшний день стандартные средства защиты не являются препятствием для "банковских троянов". Например, файлы вредоносного ПО обычно перешифровываются с частотой более 20 раз в сутки, поэтому обновление антивирусов за ними не поспевает. Также не являются панацеей и различные программные "песочницы". В том случае, если компьютер оказался заражен, хакер имеет полный контроль над всеми происходящими в операционной системе процессами.
Дополнительно, большое количество заражений производится с использованием методов социальной инженерии, когда пользователь под воздействием атакующего сам "обходит" средства защиты.
Дмитрий Козлов: Если обратиться к отчётам по анализу взломов систем ДБО за конец 2013 года, то можно заметить, что основными угрозами являются слабая парольная политика и, как следствие, неустойчивость паролей к взлому методом Brute Force. Данные угрозы не поможет снизить ни антивирус, ни сетевой экран, ни DMZ, так как атака будет происходить ещё до их зоны ответственности, и у перечисленных видов защиты не будет повода проявить себя. Чтобы снизить указанные риски или полностью их исключить, надо обратиться к корню проблемы. Пароли, используемые для дистанционного банковского обслуживания, имеют особенность "расползаться" среди сотрудников. Кто-то их записывает в надёжном месте, чтобы не забыть, кто-то временно выполняет обязанности отпускника по работе с клиент-банком, кто-то просто является хранителем пароля "на всякий случай". При отсутствии одного ответственного, виновника происшествия найти уже невозможно, что и провоцирует нечистоплотных сотрудников на нарушения.
Выходом, на первый взгляд, могла бы оказаться двухфакторная авторизация по токену, но это только на первый взгляд. Скорее всего, токен будет храниться в месте, доступном для нескольких сотрудников компании в одном конверте с паролем. Вместе с тем, для предотвращения преступления, злоумышленник должен понимать, что он будет идентифицирован, даже если воспользуется чужим паролем или общественным токеном. Таким серьёзным останавливающим фактором будет являться однозначная идентификация работающего с системой ДБО сотрудника при варианте использования двухфакторной авторизации по пропуску (проксимити-карте), индивидуальной для каждого работника, что даст гарантию его присутствия в момент операции рядом с компьютером. Вместе с тем, использование двухфакторной авторизации и персонификация ответственности за проводимые операции не отменяет необходимость в общем контроле передаваемой информации и политике хранящейся во внутренней сети информации. Безусловно, выявление графиков платежей, передаваемых через общедоступные сетевые диски или пересылаемые сотрудниками через внешнюю почту, должно блокироваться DLP-системой предприятия. Записи в аккаунтах сотрудников в социальных сетях так же не должны содержать в себе информации, способной раскрыть объёмы и суть проводимых платежей или дать злоумышленникам ключ к подбору паролей для ДБО.
Хорошая DLP-система может объединить в себе и контроль над рабочими местами сотрудников, и контроль информационного периметра предприятия и мониторинг аккаунтов сотрудников в социальных сетях, что позволит свести к минимуму риски при дистанционном банковском обслуживании.
– Какие средства и системы обеспечения безопасности систем ДБО могут применяться на стороне исключительно банка, во взаимной работе банка и клиента и исключительно на стороне клиента?
Александр Веселов: Интернет-технологии настолько прочно вошли в нашу жизнь, что мы пользуемся онлайн-услугами везде и всегда. Системы ДБО также предоставляют клиентам возможность подключения как со стационарного компьютера или ноутбука, так и с мобильного телефона или планшета. Такое многообразие способов доступа порождает множество угроз, как для пользователя, так и для банка.
В этих условиях нецелесообразно защищать один компонент системы и оставить беззащитным другой, так как обязательно найдётся злоумышленник, который этим воспользуется. Поэтому средства обеспечения безопасности необходимо применять и на стороне банка, и на стороне клиента.
На стороне банка обычно используется так называемая "периметровая" защита с несколькими контурами. Контуры могут быть разделены по функциональному признаку (межсетевой экран, VPN-шлюз, контекстный фильтр), а также по производителям.
Более надёжно для защиты периметра банка использовать продукцию российских компаний, например, "С-Терра СиЭсПи", выполненную в соответствии с требованиями регуляторов (ФСБ, ФСТЭК, Банка России). Ведь в последнее время регулярно появляется информация о компрометации продуктов некоторых западных производителей, в том числе речь идёт и о средствах защиты информации.
Банковское оборудование располагается в контролируемой зоне, поэтому большинство угроз, связанных с несанкционированным физическим доступом, не являются актуальными. Наиболее часто в последнее время приходится сталкиваться с атаками типа "отказ в обслуживании", когда злоумышленники атакуют банковские серверы и парализуют работу легитимных пользователей. В остальном, подавляющее большинство атак направлено не на банк, а на пользователя. Ведь защита его рабочего места на порядок слабее системы защиты серверов банка.
Как правило, на стороне пользователя применение организационных средств защиты неэффективно – большинство пользователей игнорируют регламенты и инструкции. Поэтому необходимо простое и в тоже время – надёжное средство защиты, которое сможет использовать неквалифицированный пользователь.
Павел Есаков: Традиционно решения класса "фродмониторинг" не предполагают наличия какой-либо клиентской части. Все операции по контролю транзакций проводятся на сервере банка или отсылаются на сайт поставщика решений. Ограничения по физическому доступу к клиентскому компьютеру и ключевым носителям хотя и могут применяться, но их эффективность крайне сомнительна. Ведь, как правило, мошенникам совершенно не нужен физический доступ в помещения клиента или возможность работы непосредственно на рабочем месте клиента. Достаточно иметь доступ к компьютеру клиента, что возможно при размещении на клиентском компьютере необходимого шпионского ПО и наличии подключения к сети Интернет.
Денис Калемберг: Из основных компонентов на стороне сервера можно перечислить системы фродмониторинга и системы защиты от DDoS-атак. Между клиентом и банком: sms-(или push)-уведомления об операциях, SMS-пароли для подтверждения операций, подтверждение критичных операций по телефону.
На стороне клиента: использование аппаратных криптосредств (не позволяющих копировать ключи ЭП в операционную систему) в сочетании с устройствами класса TrustScreen (не позволяющих использовать ключи ЭП без ведома владельца), МАС-токены для дополнительного подтверждения операций.
Павел Головлев: Все перечисленное перечислено абсолютно верно. Обязательно необходимо помнить о том, что единого, подходящего всем, сценария не существует. Всегда необходимо максимально точно сегментировать клиентскую базу, опираясь на потребности бизнеса клиента, и реализовывать для каждого сегмента свой набор защитных мер. Например, для клиентов, создающих десятки платежей в день, sms-информирование и sms-пароли в их общеизвестном виде будут чрезвычайно неудобны и потребуют либо замены на что-то другое, либо переделки функционала.
И ещё хочу обратить внимание на то, что в приведённой схеме взаимодействия банка и клиента отсутствует ещё ряд участников. Это – уже упоминавшиеся Александром регуляторы, выдвигающие различные, порой противоречивые, требования, которые требуется соблюдать в ущерб бизнесу. А также производители систем ДБО и средств защиты, создающие системы, исходя из своих представлений о бизнесе как банков, так и клиентов, в том числе об экономике процесса.
– Насколько, на ваш взгляд, сегодня эффективны "традиционные" системы обеспечения безопасности ДБО: аутентификация по логину-паролю, шифрование, электронная подпись?
Павел Головлев: Это всё гигиенические меры. Эффективность их достаточно низка, но их применение зачастую обусловлено требованиями регуляторов.
Денис Калемберг: В классической схеме использования – абсолютно неэффективны. Если компьютер клиента заражён, а это может произойти при посещении даже легального web-сайта, хакер сможет свободно подписывать свои платежки ключом электронной подписи клиента и отправлять их банк на исполнение по надёжному зашифрованному каналу от имени пользователя.
Павел Есаков: Традиционные методы обеспечения безопасности ДБО, такие как использование статических паролей, шифрование трафика и ЭЦП как средства подтверждения транзакций клиентов, не дают никаких гарантий клиентам банка. Статический пароль может быть похищен с помощью самых разнообразных приёмов, а безопасное использование ЭЦП возможно только при создании доверенной среды на рабочем месте клиента.
Что касается других методов обеспечения безопасности – использования генераторов одноразовых паролей с возможностью "маркирования" транзакций, использования подключаемых ридеров стандарта EMV CAP, то здесь дела обстоят значительно лучше. Эти устройства в состоянии обеспечить защиту пользователей от всех видов угроз, включая и атаки "человек-в-середине" и "человек-в-браузере", но их распространение крайне невелико. Но те банки, которые используют данные технологии, практически забыли о проблемах с похищенными клиентскими средствами.
Сергей Котов: Что касается отечественных алгоритмов и их реализации в различных устройствах – все вроде бы нормально. С западными же проблемы известны, озвучивались неоднократно. Однако проблема не столько в криптографии, сколько в условиях её применения. Никому и в голову не взбредёт пересылать ключи от сейфа с первым попавшимся мальчишкой с улицы или набирать код на замке при скоплении людей и телекамер. А вот в сети часто поступают именно так. Поэтому, не изолировав надёжно процессы шифрования или подписи, не стоит рассчитывать на надёжную защиту. Правда на рынке уже представлено устройство ("Антифрод-терминал" от "Аладдин Р.Д."), где документ, подготовленный на компьютере, визуализируется, а затем подписывается в полностью изолированной от внешних воздействий среде. Это, кстати, единственное серьёзное решение.
Александр Веселов: Информационная безопасность – это комплексное, многогранное понятие, которое предполагает системный подход к нейтрализации угроз. Мы уже говорили о том, что не имеет смысла защищать одну часть системы и не защищать другую, так как злоумышленник использует наименее защищённое звено.
Самым уязвимым компонентом системы ДБО является пользователь. Как правило, он обладает низкой квалификацией в сфере информационной безопасности, поэтому чаще всего подвергается атакам злоумышленников. В такой ситуации "традиционные" меры обеспечения безопасности являются необходимыми, но недостаточными. Они корректно выполняют поставленные перед ними задачи, но требуется дополнительная защита. Это может быть антивирусное ПО, внешние ключевые носители, средство доверенной загрузки и другие. Однако ситуация усугубляется сложностью эксплуатации средств защиты. Пользователь может отключить их, некорректно изменить настройки и т.д. В такой ситуации требуется надёжное средство обеспечения безопасности с максимально простым сценарием использования и в то же время – с высоким уровнем защиты. Одним из таких решений является устройство, основанное на технологии среды построения доверенного сеанса, – СПДС "ПОСТ" производства компании "С-Терра СиЭсПи".
– Насколько эффективны решения, предполагающие организацию "доверенной среды" для работы системы ДБО, например, загрузка специально сформированной операционной системы с доверенного носителя с дальнейшим поднятием VPN-соединения с сервером банка и запуском системы ДБО? Как в этом случае можно организовать безопасное взаимодействие с системой ДБО "бухгалтерских" систем?
Сергей Котов: Вариант неплох, но предполагает обычно статический контроль, а нужен ещё и динамический. То есть применение всего комплекса средств защиты не отменяется.
Павел Есаков: Решения, предполагающие создание и использование доверенной среды на клиентском компьютере, имеют право на существование. Крайне небольшое присутствие таких решений на рынке систем ДБО связано именно с тем фактом, что даже при условии, что разработчик приложения ДБО сумел договориться с поставщиком защищённой ОС о создании совместного продукта, то остается риск, что пользователь будет вынужден каким-либо образом готовить данные для отправки в банк.
Как правило, источником таких платёжных поручений является та или иная бухгалтерская программа. И нет никаких гарантий, что новая разновидность вируса не будет использовать для формирования "левых" платёжных поручений именно бухгалтерское приложение. Значит, необходимо, чтобы и бухгалтерская программа тоже выполнялась в доверенной среде, что неизбежно приводит к резкому усложнению задачи. Да и с точки зрения бухгалтера, ему необходим и доступ в Интернет, и минимальный набор программ, например, Excel и MS Word. Как результат, доверенная среда должна обеспечить весь функционал, необходимый бухгалтеру или руководителю в повседневной жизни – а это уже крайне сложная задача.
Гораздо эффективнее с точки зрения затрат создать доверенную среду вне клиентского компьютера. Такие решения на рынке присутствуют – SafeTouch, "Антифрод-терминал", – и их единственным недостатком является высокая цена из-за малых объёмов производства. Но если использовать для этих целей вполне стандартные и выпускаемые в больших объёмах подключаемые ридеры стандарта EMV CAP, то можно получить решение, которое будет обеспечивать нужный уровень безопасности и будет вполне приемлемым по цене.
Денис Калемберг: Решения класса "доверенная среда на флэшке" начали появляться на рынке около семи лет назад, но до сих пор не появилась информация ни об одном реальном проекте. С точки зрения безопасности, такая технология, может быть, и эффективна, но с точки зрения реализации в многопользовательских системах – практически неприменима. Сложности возникают как на этапе подключения клиентов (работа через PROXY- сервера), так и во время самой работы (необходи- мость загружать защищённую ОС каждый раз при необходимости провести платёж, выгружать в определенное хранилище файлы с платежами и т.д.). Всё это резко увеличит нагрузку на службы технической поддержки и вызовет отторжение у конечных клиентов.
Александр Веселов: В условиях, когда пользователь на одном и том же рабочем месте обращается к ресурсам банка и просматривает Интернет- страницы, обеспечить полноценную защиту не представляется возможным. Ранее в такой ситуации использовали отдельную рабочую станцию (напри- мер, "компьютер бухгалтера"), а сейчас появилось более универсальное решение – технология среды построения "доверенного сеанса". Одним из про- дуктов этого сегмента является устройство СПДС "ПОСТ" производства компании "С-Терра СиЭсПи" – компактное (размером с обычную USB-флешку) средство, обеспечивающее высочайший уровень безопасности при работе в системе ДБО.
Пользователь (клиент ДБО) загружает эталонную операционную систему с защищённого USB- носителя, при загрузке вводит пин-код. Далее устанавливается защищённое соединение с информационной системой банка. Передаваемая информация шифруется с помощью отечественных криптоалгоритмов ГОСТ. Пользователь работает с ресурсами банка в изолированной среде, взаимодействие осуществляется через VPN-туннель. При этом исключено нарушение конфиденциальности и целостности информации при её передаче. При таком подходе у пользователя минимум привилегий – он не может отключить средство защиты или запустить стороннее ПО.
СПДС "ПОСТ" позволяет обеспечить аппаратную защиту с помощью смарт-карты, полную изоляцию от потенциально опасных ресурсов рабочей станции, запрет доступа в Интернет и т.д.
Злоумышленник не сможет получить доступ к данным пользователя и ресурсам банка даже при потере или краже устройства – без знания пин- кода "прочитать" данные невозможно, а количество попыток ввода ограничено. Кроме того, при потере устройства администратор "закрывает" доступ с этого носителя к ресурсам банка с помощью отзыва сертификата.
Немаловажным является наличие у продукта СПДС "ПОСТ" сертификата ФСБ РФ по классу КС2, что полностью соответствует требованиям СТО БР ИББС.
Такой подход позволяет защитить не только взаимодействие между клиентом и банком, но и организовать полноценную защиту рабочего места пользователя. При этом система будет соответствовать требованиям отраслевого регулятора – Банка России.
Николай Беляков: Из тех атак на клиентов, с которыми мне приходилось сталкиваться, практически все были реализованы путём удалённого управления компьютером жертвы. Исходя из этого, можно сделать вывод, что использование VPN-соединений с серверами банков смогут сделать невозможным ряд распространённых атак, которые на данный момент используются злоумышленниками – например, удалённое управление. В тоже время, как подмечено в вопросе, это создаст некоторые проблемы при обеспечении взаимодействия с "сопутствующими" системами, а также неудобства в работе самих пользователей данных систем.
Опять же, VPN на основе чего? Нашумевшая в этом месяце уязвимость CVE-2014-0160 "Heartbleed" лично для меня ставит под сомнение такие решения. Если решение не прошло сертификацию, нельзя быть в нём полностью уверенным, а если оно прошло сертификацию, его применение налагает ряд ограничений.
Павел Головлев: По оценке руководителей служб информационной безопасности 32 банков эффективность подобных решений составляет менее 12%. Это просто неудобно. Да и время проведения транзакции увеличивается на порядок. Опять же использование сертифицированных средств составляет серьёзные лицензионные и логистические проблемы для банков, хотя непонятно зачем использовать для простой платёжки, которая формируется на основании счёта, переданного по факсу, средства, предназначенные для защиты гостайны. При этом эффективность простой задержки исполнения документа на время, достаточное для того, чтобы клиент мог получить информацию о платеже и отозвать подложный документ, составляет более 40%. Но не всякий клиент согласится даже на это.
Николай Беляков: На мой взгляд, решение проблемы должно быть максимально простым, только тогда оно будет удобным и надёжным. Здесь работает очень простая математика, я бы даже сказал, арифметика. Сумма средней успешной атаки на ДБО клиента – 400 тысяч рублей. Учитывая тенденцию к занижению масштабов бедствия банками, эту цифру можно смело умножить на два. Компьютер, который можно использовать для работы с ДБО и бухгалтерскими системами стоит до 30 тысяч рублей. Таким образом, изолировав выделенный для работы с ДБО компьютер от остальной сети организации (технические подробности опустим) и разрешив с него обращения только к ДБО банков, клиентом которых организация является, атаки на ДБО клиента из вне становятся практически невозможными. Остаются только атаки инсайдеров, но это уже тема отдельного обсуждения. Повторюсь, как правило, простое решение – самое эффективное.
– Насколько эффективна двухфакторная аутентификация либо двухфакторное подтверждение операций (с помощью ввода sms- пароля, кода скрэтч-карты, USB-токена и тд)?
Павел Головлев: На 27%.
Павел Есаков: На мой взгляд, правильно организованная двухфакторная аутентификация может свести к нулю уровень мошеннических операций в системе ДБО. При этом надо отдавать себе отчёт, что часть из перечисленных средств аутентификации не является двухфакторной, а некоторые решения не в состоянии защитить клиента от атак "человек-в-браузере", хотя и могут подтвердить подлинность клиента. Только те механизмы, которые предполагают однозначную связь одноразового пароля с данными транзакции, могут защитить клиентов от атак "человек-в- середине".
Денис Калемберг: Двухфакторная аутентификация – незаменимая технология, которую обязательно надо использовать в системах ДБО, но классические USB-токены, скретч-карты и т.д. могут только подтвердить сам факт совершения транзакции. Её суть (а именно реквизиты платежа) необходимо контролировать в дополнительном, доверенном устройстве, которым может выступать либо уже упомянутый TrustScreen, либо "оптический" МАС-токен с экраном, вырабатывающий код подтверждения транзакции. В настоящий момент единственным промышленным решением класса TrustScreen, реально использующимся клиентами российских банков, является наша разработка – SafeTouch. Думаю, через пол года – год мы услышим и о проектах других производителей.
Сергей Котов: Двухфакторная аутентификация с отчуждаемым носителем несравненно лучше "логин/парольной" аутентификации. Ведь перехватить логин/пароль не составляет труда, а использовать (в том числе и продавать "направо и налево") его можно, пока "гром не грянет". Управление отчуждаемым средством аутентификации и электронной подписи тоже может быть перехвачено злоумышленником, но только пока оно подключено к компьютеру (естественно, в том случае, если ключ неизвлекаем). Sms-пароль и скрэтч-карты вообще малонадёжны в современных условиях и заставляют банки серьёзно ограничивать транзакции ими подтверждаемые, что ограничивает развитие мобильного ДБО. Это как раз то поле, где уверенней всех играет "Антифрод-терминал". Недаром этой технологией заинтересовались страховые компании, выводящие на рынок соответствующие продукты.
Александр Веселов: Практика показывает, что для нейтрализации актуальных угроз в системах ДБО явно недостаточно однофакторной аутентификации, она создаёт лишь иллюзию защиты. Поэтому двухфакторная аутентификация – обязательный атрибут современной системы безопасности. Наиболее популярная реализация – sms-подтверждение входа в систему клиент-банк или проведения операции со счётом.
При использовании технологии СПДС (среда построения доверенного сеанса) двухфакторная аутентификация является неотъемлемой частью сценария доступа пользователя к целевым ресурсам. Первый фактор – наличие защищённого USB-носителя, второй – знание пин-кода для загрузки операционной системы.
При этом подтверждение операций посредством sms может стать дополнительным инструментом защиты.
– Какие новшества Вы внедрили в области защиты систем ДБО за последний год?
Павел Есаков: К сожалению, мы вынуждены ограничить свою активность "просветительской" деятельностью, ибо, несмотря на неснижающийся уровень мошенничества, банки не готовы к изменению своих систем безопасности. Модным трендом стало внедрение систем фрод-мониторинга – типичная попытка лечить не болезнь, а её последствия. Тем не менее, мы приветствуем внедрение систем фрод-мониторинга, ибо это создаёт предпосылки для создания систем аутентификации с учётом рисков. Именно такой подход позволяет обеспечить удобство для пользователя и высокий уровень безопасности.
Денис Калемберг: За последний год мы реализовали проекты по внедрению средства визуализации подписываемых данных SafeTouch более чем в 40-ка российских и зарубежных банках. По сути, наша разработка стала первой реализацией технологии TrustScreen в России, а её удобство, простота и невысокая цена обеспечили успех на рынке. Недавно мы также запустили производство устройств SafeTouch, поддерживающих работу не только со смарт-картами, но и с USB- токенами.
Абсолютно новой для российского рынка стала и ещё одна наша разработка PayControl – мобильное приложение, реализующее функционал "оптического" MAC-токена в смартфоне. Её внедрение позволяет заменить устаревшую технологию отправки паролей через sms-канал, сделать подтверждение платежей намного более удобным и безопасным.
Александр Веселов: Компания "С-Терра СиЭсПи" является одним из лидеров по производству средств защиты информации для банковского сектора. Достигается это за счёт использования международных стандартов IKE/IPsec и соответствия отечественному законодательству. Наши VPN-шлюзы уже давно используются во многих банках, администраторы привыкли к интерфейсу, аналогичному Cisco IOS. Поэтому пилотные проекты с новым средством для защищённого удалённого доступа, СПДС "ПОСТ", проходят достаточно легко, несмотря на особенности системы защиты каждого банка. На основе этих пилотных проектов нам удалось значительно доработать продукт, учитывая банковскую специфику. СПДС "ПОСТ" только завоевывает рынок, но уже сейчас можно говорить о том, что среда построения доверенного сеанса – это более современный и надёжный подход к защите ДБО, чем "традиционные" меры защиты.
– Каких изменений типичных атак на системы ДБО Вы ожидаете в этом году? Что собираетесь им противопоставить?
Павел Есаков: Наиболее вероятным направлением атак следует считать атаки на SMS-аутентификацию, ибо вирусы для реализации таких атак уже разработаны и требуют лишь незначительной модификации для использования против российских систем ДБО. К тому же, крайне широкое распространение sms-аутентификации делает эту атаку перспективной с точки зрения мошенников. Любопытно, что даже значительное увеличение стоимости sms для банков практически не повлияло на использование этого, уже скомпрометированного, метода аутентификации в системе обеспечения безопасности банков. Конечно, можно использовать и скомпрометированный механизм аутентификации, но банк в этом случае должен иметь какой-либо другой механизм, который может быть оперативно введен в эксплуатацию в случае атаки на систему SMS-OTP аутентификации этого банка.
Единственное обстоятельство, почему атаки на SMS-OTP не стали массовыми – наличие крайне большого количества банков с ещё менее защищёнными решениями – для атак на эти банки у мошенников затраты ещё меньше. Но как только этот ручеёк обмелеет, хакеры перейдут к эксплуатации других уязвимостей.
Единственным средством противодействия этим угрозам можно считать внедрение новых решений (впрочем, они с успехом используются в западных банках на протяжении многих лет) систем аутентификации, основанных на использовании симметричных алгоритмов и позволяющих создать доверенную среду вне компьютера клиента.
Денис Калемберг: На сегодняшний день мошенники, по сути, могут делать с зараженным компьютером всё, что захотят, поэтому дальше они будут только оттачивать технологию автоматической подмены реквизитов платежей, чтобы системам фрод-мониторинга на стороне банка было сложнее их отлавливать. Данная ситуация будет сохраняться ещё несколько лет, пока большинство клиентов не начнет использовать средства защиты от подмены платежей.
В дальнейшем, скорее всего, хакеры переориентируются на атаки серверной стороны систем ДБО, такие попытки отмечаются и сейчас, но в небольшом количестве. В планах нашей компании и дальше развивать линейку средств визуализации подписываемых данных SafeTouch, чтобы сделать эти устройства не только самым безопасным, но и самым удобным средством подтверждения транзакций.
Сергей Котов: Атаки с использованием уязвимости нулевого дня и атаки на внутренние ресурсы компаний с использованием уязвимостей в подключенных к ним мобильных устройств (такое подключение сулит много выгод, и, стало быть, будет пользоваться все большей популярностью) – нужно внимательно отнестись к оценке рисков и выбору технологий). Что касается "противопоставить" – "обязательно", но давайте не будем предупреждать противника заранее, он ведь в таком не замечен.
Павел Головлев: Ну, кто же из "банкиров" будет говорить о конкретных защитных мерах? Это же коммерческая тайна! Но не думаю, что изменятся принципы. Будут появляться новые "дыры", которыми будут пользоваться злоумышленники. Эти "дыры" будут заделываться, и это эволюционный процесс.